|
Plagegeister aller Art und deren Bekämpfung: S.o.sWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.10.2005, 11:32 | #1 |
| S.o.s Hallo erstmal...das hier ist so zu sagen meine letzte Hoffnung..da ich einfach garkeine nerven mehr habe...Nun ich komme gleich zum Punkt.... Habe einen Virencheck gemacht und der meint das unter c:/windows/downloaded program Files/rundlg32.dll ein Virus sei Adware.Iwantsearch....habe es dann eingegen und konnte nichts der gleichen finden...auch nicht nachdem ich alle unsichtbaren Ordner sichtbar gemacht habe..habe dann alles was mir fremd vor kam,nachdem ich den abgesicherten Modus eingeschaltet habe,gelöscht...wieder einen Virencheck gemacht...und wieder das gleiche....jetzt sehe ich in dem Pfad wie oben angegeben WUWebControl Class...keine ahnung was das ist...ob es der Virus ist oder nicht...oder was das eigentlich überhaupt sein soll...kann mir vielleicht jemand weiterhelfen was ich noch machen könnte um den Virus wieder los zu werden....würde mich wirklich freuen...denke mal geht jedem so...wenn er absolut null keinen Plan hat... |
19.10.2005, 11:40 | #2 | |
| S.o.s Hallo,
__________________erstmal ganz ruhig durchatmen, auf deinem System ist, wenn überhaupt, ein Programm das Werbung einspielt, also erstmal nichts weshalb man durchdrehen sollte. Zitat:
Also erstmal welches Programm (Virenscanner?) meldet die Adware? Erstelle mal ein HijackThis Logfile wie hier beschrieben und poste es. Und versuche noch mal mit dieser Anleitung die betreffende Datei zu suchen. Grüße Wildone |
19.10.2005, 12:23 | #3 |
| S.o.s Also ich habe das mal so gemacht wie beschrieben...aber gefunden habe ich Ihn dennoch nicht...habe den Virencheck auf der Seite www.symantec.de gemacht und er hat Ihn 2 mal angezeigt....habe dieses hijack mal gemacht und versuche es mal hier rein zu setzen
__________________Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Softwar e\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Softwar e\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1. EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Programme\Grisoft\AVG Free\avgemc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Grisoft\AVG Free\avgcc.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\miriam\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin /AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont rols/en/x86/client/wuweb_site.cab?1096916389718 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common /bin/cabsa.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown loader.cab O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://webwolf.betteresolution.com/voice.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/ toolbar/yiebio5_3_18_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{919D1251-998F-48D3-A A86-40B410B7A794}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
19.10.2005, 12:35 | #4 |
| S.o.s Hallo, kannst du wegen der Übersichtlichkeit nochmal versuchen das ganze ohne Leerzeilen zu posten und editiere die Links (aus http mach hxxp)! Der erste grobe Blick drüber hat allerdings nichts auffälliges zu Tage gefördert. Wenn du willst kannst du mal Escan (Anleitung sorgfältig lesen!) drüberlaufen lassen und dann das Log wie in der Anleitung beschrieben posten. Grüße Wildone |
19.10.2005, 12:43 | #5 |
| S.o.s ok versuche es noch einmal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Programme\Grisoft\AVG Free\avgemc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Grisoft\AVG Free\avgcc.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\miriam\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096916389718 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - hxxp://webwolf.betteresolution.com/voice.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - hxxp://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{919D1251-998F-48D3-AA86-40B410B7A794}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
19.10.2005, 12:51 | #6 |
| S.o.s Hallo, also ich bleibe bei meiner Einschätzung, keine Auffälligkeiten. Mach mal das mit Escan dann sehen wir weiter. Du könntest mal noch den Kopf von dem Log mit den Systeminformationen nachreichen. Grüße Wildone |
19.10.2005, 12:57 | #7 |
| S.o.s Logfile of HijackThis v1.99.1 Scan saved at 12:58:38, on 19.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) |
19.10.2005, 13:06 | #8 |
| S.o.s Hallo, sollte eigentlich schon SP2 sein, aber dazu später noch, wenn ich dein Escan Log gesehen habe. Grüße Wildone |
19.10.2005, 13:11 | #9 |
| S.o.s tut mir wirklich leid aber ich blick da einfach nicht durch bei dem ganzen..habe das mal durchlaufen lassen aber es nicht hinbekommen das auch zu speichern wie ganz oben verlangt wurde...so kann ich es auch nicht hier rein setzen..68 virus hat er gefunden..und ich komm nicht weiter :-( tut mir leid... |
19.10.2005, 13:17 | #10 |
| S.o.s Hallo, öffne mal die Datei MWAV.Log mit dem Texteditor und suche dort über bearbeiten>>suchen nach den Stichwörtern "infected" und "tagged" und poste die jeweiligen Einträge. Hast du das Programm wenigstens in dem Ordner Bases_X installiert? Grüße Wildone |
19.10.2005, 13:19 | #11 |
| S.o.s genau das war es was ich nicht hin bekommen habe...ich sitze schon stunden hier ..ich danke dir echt tausend mal für deine hilfe..aber ich glaube ich bin echt zu doof für sowas...bekomme das nicht hin mit dem speichern...ich danke dir aber trozdem ... |
19.10.2005, 13:27 | #12 |
| S.o.s Hallo, jetzt mal ganz ruhig, es ist im Prinzip ganz einfach du gehst in den Explorer klickst auf C:\ dann gehst du oben auf Datei>>Neu>>Ordner diesen Ordner nennst du dann Bases_X in diesen Ordner schiebst du dann das Programm, klickst auf die kavUpd.exe, löschst die MWAV.LOG und läßt Escan nochmal laufen, dann machst du das oben beschriebene mit der neu erstellten MWAV.LOG. Grüße Wildone |
19.10.2005, 13:51 | #13 |
| S.o.s ich bin echt fix und fertig....kann vielleicht lustig klingen,ich bekomme es nicht hin...entschuldige das ich deine zeit so in anspruch genommen habe.P. |
19.10.2005, 13:59 | #14 |
| S.o.s hatte sie nicht gespeichert ich werde es noch einmal versuchen |
19.10.2005, 14:01 | #15 |
| S.o.s Hallo, schade eigentlich, ich würde an deiner Stelle jetzt erstmal eine Pause machen, raus in die Sonne gehen und mich später noch mal mit dem ganzen auseinander setzen. Grüße Wildone |
Themen zu S.o.s |
.dll, abgesicherte, abgesicherten, abgesicherten modus, absolut, ahnung, angegeben, check, einfach, fremd, freue, garkeine, konnte, modus, nerve, nerven, nichts, ordner, program, unsichtbare, unsichtbaren, virencheck, virus, weiterhelfen, wirklich, überhaupt |